LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック
ラックピープル | 

Macユーザの皆さん、現在お使いのMac OS Xの
バージョンはいくつでしょうか?

先日、OS X Yosemite(10.10)の後継バージョンとして、OS X El Capitan(10.11)がリリースされていますが、ソフトウェアのサポート待ち、あるいは様子見ということでアップグレードをためらっている方も多いのではないでしょうか。

執筆時点でのMac OS Xの最新バージョンは「10.11.1」になっています。ご利用のバージョンがOS X Yosemiteの最新バージョン「10.10.5」であったとしても、セキュリティ上の問題がかなりの件数が未解決ですので、「10.11.1」へのアップデートをご検討ください!

このアップデート「OS X El Capitan v10.11.1 およびセキュリティアップデート 2015-007」の説明を見ると、「スクリプトエディタの脆弱性(CVE-2015-7007)」というセキュリティ上の問題が修正されたことを示す一文が記載されています。これは、特定の条件下でのユーザの誘導が成立すると、リモートからコードが実行されるという脆弱性で、特に注意が必要な脆弱性かもしれません。Exploitコードも公開されており、手元のMacで容易に再現を確認しているため、現実的に悪用される可能性を秘めた脆弱性と言えます。

このスクリプトエディタの脆弱性(CVE-2015-7007)は、ユーザに特定の操作を行わせて攻撃を誘導する必要があり、攻撃成立にはステップが必要となるため、これまでに頻繁に発生するJavaやAdobe Flash Playerの脆弱性などの脆弱性に比べ、攻撃成功に至る確率は低いかもしれません。しかし、今年に入りExploitコードが既に公開されているOS X Yosemiteに存在するローカルからの権限昇格の脆弱性が複数発見されています。このスクリプトエディタの脆弱性(CVE-2015-7007)とローカル権限昇格の脆弱性を組み合わせることで、最悪の場合、リモートからroot権限で任意のコード実行を招く恐れがあります。誘導する不正サイトの細工の仕方次第では、攻撃成功率は高くなるのかもしれません。

以下では、問題のあるOS Xバージョン「10.10.5」と修正済みOS Xバージョン「10.11.1」でMetasploitを使い、スクリプトエディタの脆弱性(CVE-2015-7007)の再現検証を実施した画面を示しています。

問題のあるOS Xバージョン「10.10.5」にてテストを実施した画面

問題のあるOS Xバージョン「10.10.5」にてテストを実施した画面

修正済みOS Xバージョン「10.11.1」にてテストを実施した画面

修正済みOS Xバージョン「10.11.1」にてテストを実施した画面

このように、バージョンアップの前後によって、開発元が未確認であることを示す警告メッセージに変化があります。これでひとまずはAppleScriptの実行(「Command + R」でスクリプト実行のキーボードショートカット)に至る画面までには進まなくなりました。

この一件もあり、今年公開されたMac OS Xの脆弱性が多い印象があったので、直近5年間の脆弱性件数とMetasploitのExploitコードの登録件数の関係性について調べてみました。

WindowsとMac OS Xの直近5年間のJVN iPediaで調べた脆弱性件数とMetasploit登録件数を示すグラフ

上図はWindowsとMac OS Xの直近5年間のJVN iPediaで調べた脆弱性件数(1)とMetasploit登録件数を示すグラフです。ご覧のとおり、Mac OS Xの脆弱性件数(2)は2013年以降増加傾向にあり、Metasploit登録件数も数は少ないですが、増加傾向にあります。一方Windowsはというと、脆弱性件数は大きな変化はないものの、Metasploitの登録件数は年々減少傾向にあります。

このグラフを参考にすると、Apple製品のシェア拡大や機能強化に伴い、OS XやiOSに関する脆弱性を含めたセキュリティの調査研究活動が増えているとは言えそうですが、いったい今後どうなるのでしょうか。もしかすると、攻撃のメインターゲットがWindowsからMacに変わる日が近いうちに訪れるのかもしれません。


  • (1) 脆弱性件数は、JVN iPediaを使いそれぞれのベンダ名を指定した状態で検索キーワード「Microsoft Windows」と「Apple OS X」で検索したヒット数
  • (2) 今回示した「Apple OS X」の脆弱性件数には、phpなどの標準で同梱されるパッケージの脆弱性も含まれるため、純粋なOSの脆弱性件数を示す件数ではありません。

この記事は役に立ちましたか?

はい いいえ